Un sito in https è sicuro, ma non è detto che sia anche al sicuro dai criminali informatici. Infatti, è possibile abboccare a phishing o essere vittime di malware anche su un sito con il protocollo https (hypertext transfer protocol secure), che garantisce sì una connessione protetta, ma non certifica chi c’è “dietro”: allora come avere la garanzia di essere sul sito reale della propria banca, di una fintech, di un eCommerce, di una società privata o ente pubblico?
Come sapere se un sito web è sicuro/protetto
La prima cosa da fare, per sapere se sei sul sito reale e non su uno fraudolento, a quest’ultimo si può giungere cliccando un link contenuto in un’email o SMS phishing o perché si digita il dominio con errori di battitura, è guardare, con attenzione, l’url del sito web.
Se inizia con “https” invece di “http“, significa che il sito è protetto utilizzando un certificato TLS/SSL, che mette al sicuro i tuoi dati mentre vengono trasferiti dal tuo browser al server del sito web. Quando visiti un sito web codificato, per esempio per operazioni di banca online o eCommerce, il browser controlla se il certificato del sito è valido. Se non lo è, ti avvisa. In questo modo vengono protette le informazioni di login, i numeri di carta di credito, gli indirizzi e ogni altro dato riservato.
Che cos’è il protocollo SSL
Il Secure Socket Layer (SSL) e il suo successore Transport Layer Security (TLS) sono protocolli crittografici che permettono una comunicazione sicura sulle reti TCP/IP, come i siti web, fornendo: autenticazione, crittografia e integrità dei dati. Il protocollo TLS/SSL risulta essere, dunque, un mezzo estremamente potente per la conduzione di transazioni online, autenticate e cifrate.
I certificati non sono tutti uguali
Tuttavia, i certificati TLS/SSL non sono tutti uguali: esistono diversi livelli di convalida e alcuni di essi sono più facili da superare rispetto ad altri.
Il livello di convalida più basso, Domain Validation (DV), verifica semplicemente la proprietà del dominio e non effettua un controllo sull’identità e legittimità dell’organizzazione che richiede il certificato. In altre parole, se hai acquistato il dominio “amaz0n.com” e hai richiesto un certificato, riceverai il certificato perché sei il proprietario del dominio. I browser mostreranno anche un piccolo lucchetto nella barra degli indirizzi per mostrare che il sito è protetto con la crittografia TLS/SSL. Ma, solo il lucchetto ti dirà se il sito ha la crittografia o meno ed occorre guardare oltre il lucchetto, cliccarci, per leggere gli indicatori di fiducia più elevati che garantiscono all’utente di essere sul sito web giusto.
Cosa c’è dietro il lucchetto
Prima di cedere dati personali o fare acquisti online con carta di credito, bancomat, prepagata o altro, è necessario cliccare sul lucchetto che si visualizza all’interno o accanto alla barra degli indirizzi del browser per andare a caccia di indizi sull’identità e visibilità dell’azienda del sito. Solo così è possibile prendere atto di una serie completa di operazioni di sicurezza eseguita con successo.
Riccardo Cazzola, ceo Trust Italia: “Solo cliccando sul lucchetto si visualizzano le informazioni certificate sull’identità dell’organizzazione che gestisce il sito”
“La presenza del lucchetto nella barra degli indirizzi ci garantisce ‘semplicemente’ che il certificato sia valido, firmato da una Certification Authority verificata e che la connessione sia crittografata e sicura, ma è solo cliccando sul lucchetto che si ottengono tante informazioni relative al sito web che stiamo visitando, al tipo di crittografia in uso nella connessione https, ma soprattutto acquisiamo informazioni certificate sull’identità dell’organizzazione che gestisce il sito”, ci spiega Riccardo Cazzola, ceo Trust Italia, azienda italiana specializzata dal 2000 nella web security.
“Infatti”, continua Cazzola, “le aziende e le organizzazioni che vogliono esporre la propria identità scelgono certificati di tipo OV (Organizational Validated) o, meglio ancora, di tipo EV (Extended Validation) che, in forza di una più approfondita procedura di verifica da parte della Certification Authority, espongono con più dettaglio e maggiore risalto i dati identificativi del proprietario del sito”.
“Al contrario”, conclude il ceo di Trust Italia, “i certificati DV (Domain Validated) si limitano a confermare solo che si sta visitando una pagina che riferisce al dominio riportato nel certificato stesso.”
Il certificato più sicuro? Extended Validation: certifica l’identità e la legittimità dell’azienda proprietaria del sito. L’utente è sul sito reale, i dati sono al sicuro e sa a chi li sta fornendo
Qual è la scelta più sicura ed affidabile per le pagine di online banking, di eCommerce, una pagina di login o di pagamenti digitali di una società pubblica o privata?
Il più alto livello di convalida e con rigorosi standard è l’Extended Validation (EV), perché certifica l’identità e la legittimità dell’azienda proprietaria del sito. L’utente è sul sito reale, i dati sono al sicuro e sa a chi li sta fornendo. Questo legame tra il certificato e il nome di dominio offre agli utenti la garanzia di interagire con il sito web di un’organizzazione autorizzata e legalmente riconosciuta.
Infatti l’Extended Validation:
- Garantisce la cifratura delle comunicazioni https.
- Verifica attraverso un controllo stringente l’identità aziendale.
- Rende visibile nei dettagli del lucchetto il nome dell’azienda, indirizzo fisico e numero di telefono. Tutte informazioni assenti nei certificati TLS/SSL usati per i siti fraudolenti.
- Viene emesso in massimo 3 giorni.
I certificati digitali sono firmati, di norma, da una terza parte affidabile e indipendente che ne garantisce la validità: si chiama Autorità di Certificazione o Certification Authority (CA). DigiCert è la più riconosciuta CA del mondo.
Dean Coclin (DigiCert): “I consumatori devono essere certi di essere sul sito web giusto”
“L’identità sul web continua ad essere importante affinché i consumatori siano certi di essere sul sito web corretto. I certificati SSL EV giocano un ruolo importante dando agli utenti una elevata confidenza sulla autenticità del sito che stanno visitando. I browser hanno spostato la visualizzazione dell’EV dietro il lucchetto quindi è importante che gli utenti guardino oltre il lucchetto e ci clicchino su per vedere chi è il proprietario del sito web”, osserva Dean Coclin, Sr Director Business Development di DigiCert Inc.
Dietro il lucchetto c’è di più
Dunque, un sito in https garantisce sì la cifratura delle comunicazioni, ma l’utente non ha la certezza di chi ci sia “dietro”, se la società o l’ente a cui pensa di effettuare un bonifico o criminali informatici.
L’utente, prima di cedere dati o effettuare un acquisto online, deve valutare questi tre elementi se indicati nel certificato SSL:
- Crittografia.
- Identità digitale dell’azienda.
- Visibilità del brand.
Quindi, da oggi occhio alla url e a cosa c’è dietro il lucchetto.